Ruby on Rails obdrží třetí patch zabezpečení za méně než měsíc

Vývojáři platformy pro vývoj webových aplikací Ruby on Rails vydali verze 3.0.20 a 2.3.16 softwaru v pondělí, Jedná se o třetí aktualizaci zabezpečení uvolněnou v lednu pro Ruby on Rails, což je stále populárnější rámec pro vývoj webových aplikací pomocí programovacího jazyka Ruby, který byl použit k vytváření webových stránek jako Hulu, GroupOn, GitHub, Scribd a další.

Vývojáři Rails popsali aktualizace zveřejněné v pondělí jako "extrémně kritické" v příspěvku na blogu a radili všem uživatelům poboček softwaru 3.0.x a 2.3.x Rails, aby se okamžitě aktualizovali. čtení: Jak odstranit malware z vašeho počítače se systémem Windows]

Podle příslušného bezpečnostního poradenství se nově vydané verze Rails zabývají chybou zabezpečení v kódu Rails JSON (JavaScript Object Notation), který umožňuje útočníkům vynechat autentizační systémy, (Structured Query Language) do databáze aplikace, vkládání a spouštění libovolného kódu nebo provedení útoku typu DoS (DoS) proti aplikaci.

Vývojáři Rails poukázali na to, že i přes tuto aktualizaci se Rails 3.0.x pobočka již není oficiálně podporována. "Vezměte prosím na vědomí, že v současné době jsou podporovány pouze série 2.3.x, 3.1.x a 3.2.x," uvedli v poradně.

Uživatelé verze Rails, kteří již nejsou podporováni, byli doporučeni co nejdříve aktualizovat na novější podporovanou verzi, protože nelze zaručit pokračující dostupnost oprav zabezpečení pro nepodporované verze. Novější větve 3.1.x a 3.2.x Rails nejsou touto chybou zabezpečení ovlivněny.

Tato nejnovější chyba Rails je označena jako CVE-2013-0333 a je odlišná od CVE-2013-0156, což je kritická chyba SQL injection že vývojáři Rails zdůrazňují, že uživatelé karet Rails 2.3 nebo 3.0, kteří dříve nainstalovali opravu pro CVE-2013-0156, jsou stále povinni nainstalovat novou opravu, která byla vydána tento týden